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(57) Abstract 

Tt[t invention relates to a method which ensures respect for data protection rights, especially as regards personal data which are 
available in a network with distributed memories. According to said method access rights to the data available in the networic arc distributed 
to owners, with the possibility of revocation, and the data are stored in the networic only after authorization has been given by the owner 
holding the rights to the data. When certain data are requested only die references of those data records for which the requestor holds the 
access rights can be given. Data which are available but for which there are no access rights cannot be recognized. Should someone wish 
to access data the access rights can again be verified before access to said data is authorized. 
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(57) Zusammenfossung 

Durch das eifindung^gemaCe Verfahrcn werden die Datenschutzrechte an insbesonderc personenbezogcncn Daten gewahrt. die in 
einem Netzwerk mil verteilten Speichem zur Verftlgung stehen. Das Verfahrcn basiert auf der Vcrgabe mit WidemifsmOglichkeit von 
Inhaber-Zugriffsrcchlen auf die in dem Netzwerk zur VerfUgung stehenden Daten, sowie der Speichcning von Daten innerfialb des 
Netzwerkes nur nach Autorisierung durch den Inhaber der Rechte an den Daten. Bei einer Anftage nach bestimmten Daten kdnnen 
nur die Refercnzen derjenigen Datensatze angegeben werden, auf die der Anfragende auch die Zugrifferechte besitzt. wobei vorhandene 
Daten ohne Zugriffsrechte nicht erkannt werden kOnnen. Soli auf bcstinunte Daten zugegriffen werden, so kann wiederum eine ObciprOfung 
der Zugriffsrechte erfolgen. bevor ein Datenzugriff erlaubt wird. 
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Verfahren zum abgeslcherten Zugiiff auf Daten in einem Netzwerk 

Die Erfindung betriff ein Verfahren zufn abgeslcherten Zugriff auf Daten in 
einem Netzwerk, im Speziellen in einem Netzwerk mit einem Informati- 
onscenter und wenigstens einem Datenraum-Zugriffssystem. wobei unter 
dem Begriff Datenraum-Zugriffssystem eine Elnrichtung verstanden wlrd, 
die Speicherplatz (Datenraum) zur Verfugung stellt und den Zugriff auf ge- 
spelcherte Daten ermfigllcht. 

In der nahen Zukunft soUen fur unterschledllche Interessengruppen elnes 
6ffentllchen oder prlvaten Sektors beispielsweise im Gesundheitswesen, etwa 
fur die Krankenkassen, das Gesundheitsministerium und medlzinlsche Zti- 
sammenschlusse* die sogenannten "Praxlsnetze" entwlckelt werden. Der 
Grundgedanke dieser Praxisnetze ist es, daJ5 aufgrund einer besseren Kom- 
munlkation zwischen unterschiedlichen Arztpraxen und/oder Krankenhau- 
sem zur Zelt haufig noch redundant ausgefahrte medizinische Untersu- 
chungen reduziert werden konnen. In diesem Slnne ware es z. B. nicht no- 
tig, ein weiteres Rontgenbild einer Lunge eines Patlenten zu erstellen. wenn 
eine erneute Diagnose z. B. elnes anderen Arztes unter Zuhilfenahme elnes 
leicht zugangllchen kurzllch aufgenommenen Rontgenbildes der Lunge die- 
ses Patlenten mogUch ware. Es llegt im offentlichen Interesse und dem der 
Verslcherungsgesellschaften. die Gesundheltskosten zu reduzieren. weswe- 
gen insbesondere letztere autonome medizinische Netzwerke aulbauen 
mochten, mit deren Hilfe unterschledllche Arzte eines Patlenten zu seiner 
besseren und kostengunstlgeren medlzlnischen Versorgung auch auf die be- 
reits von ihren Kollegen erstellten Daten dieses Patlenten zugreifen konnen. 

Bel heute schon aufgebauten Versuchsmodellen besteht das Hauptproblem 
darin, eine sichere Kommunikatlon zu gewahrlelsten. Es sind unterschledll- 
che Losungen der Verbindung eines Arztes zu medlzlnischen Elnheiten be- 
kannt. die hauptsachhch auf eine bestimmte Gruppe von Arzten begrenzt 
sind, z. B. die Radlologen. wobei naturgem^fi eine Beschrankung auf eine 
spezielle Art der Information/Daten vorgegeben ist, z. B. ROntgenaufnah- 
men. 

Es existieren schon einlge natlonale und Internationale Standards, die die 
Art der Erzeugung und Obertragung von medlzlnischen Daten deflnieren. 
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z. B. DICOM fGr R6ntgenaufnahmen, BDT fur die Daten eines Patienteiip 
GDT fur medlzlnische Daten, die von medizinischen Geraten erzeugt war- 
den, z. B. von einem Elektrokardlographen oder anderen Einrichtungen. 
Hierbei werden hinsichtlich der abgesicherten Obertragung von medizini- 
schen Daten keine speziellen Anforderungen gestellt. da dies aufgrund un- 
terschiedlicher bekannter Verschlusselungsmechanlsmen heute kein Pro- 
blem mehr ist. 

Eine besondere Aufgabe bel der Obertragung von medizinischen Daten ist 
es, die indivlduellen Personlichkeitsrechte des Patlenten zu gew^hrleisten. 
Die heute praktizierte Obertragung von medizinischen Informatlonen 1st im- 
mer dann illegal, wenn sle nicht auf eine abgeschlossene medizinlsche Grup- 
pe wie z. B. ein Krankenhaus oder eine Arztpraxls begrenzt 1st. Eln Praxis- 
netz mit hunderten verschledener Praxen und Krankenhausern als abge- 
schlossene Gruppe zu bezelchnen ware Im rechtllchen Sinne wohl als eine 
Umgehung der Personlichkeitsrechte von Patienten zu interpretieren. In die- 
sem Fall hatte eln Patient keine Mdglichkelt, alle GruppenmltgUeder zu ken- 
nen, und kfinnte von seinem Recht der Auswahl einer anderen Gruppe. wie 
z. B. eines anderen Krankenhauses. kaum Gebrauch machen. 

Demnach liegt der Erfindung die Aufgabe zugrunde, ein Verfahren zum ab- 
gesicherten Zugriff auf Daten In einem Netzwerk anzugeben, bel dem nur der 
Inhaber der Rechte an den Daten frel fiber dlese verffigen kann. 

Ein solches Verfahren ist Im Patentanspruch I angegeben. Vortellhafte Wei- 
terblldungen dieses Verfahrens flnden slch In den abhanglgen Patentanspru- 
chen 2 bis 24. 

Nach dem erflndungsgem^^en Verfahren kann alleln der Inhaber der Rechte 
an bestlmmten Daten Zugriffsrechte auf dlese deflnieren. Die einmal gespei- 
cherten Daten verblelben an ihrem Speicherplatz und werden nicht zentrall- 
slert gesammelt. Ein Zugriff auf solche abgespelcherten Daten ist nur mit 
der Autorislerung des Inhabers der Rechte an diesen Daten moglich. Fur 
medizinlsche Daten bedeutet dies z. B., da£ sle an dem Ort Ihrer Erstellung 
verbleiben und daJ5 andere Arzte nur mit der Erlaubnls des jeweiligen Patl- 
enten auf diese Daten zugreifen konnen. Eine solche Erlaubnls kann allge- 
mein fur bestimmte Arzte oder auch nur fur den Elnzelfall ertellt werden. 
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1 Auch ist es moglich. eine einmai erteilte Erlaubnls wieder zu entzlehen. 

Die Erfindung und vorteilhafte Weiterbildung werden nachfolgend anhand 
elnes Beisplels unter Bezugnahme auf die Zelchnungen naher eriautert. Es 
5 zeigen: 

Flgur 1 einen beispielhaften Aufbau eines Netzwerks. In dem das erfln- 
dungsgemS^e Verfahren Anwendung flnden kann: 

10 FlguT 2 die Erzeugung und Abspeicherung von Daten nach dem crfin- 
dungsgemSJSen Verfahren; 

Flgur 3 ein Beisplel elner erfolglosen Anfrage nach bestimmten Daten: 

15 Flgur 4 den Abruf und die Erteilung von Zugriffsrechten an bestimmten 
Daten durch den Inhaber der Rechte an diesen Daten; 

Flgur 5 ein Beispiel einer erfolgreichen Anfrage nach Daten und ihrer 
Obertragung an die anfragende Stelle. 

20 

Im folgenden wlrd das erfindungsgem^fie Verfahren am Beispiel elnes Pra- 
xisnetzes eriautert. Hler dlent das System zur Versorgung einer Gruppe von 
Arzten mit den medizinischen Unterlagen Ihrer Patlenten. 

25 Auf das System kdnnen mehrere Arzte zugreifen. die jeweils einen Zugang 
auf ein Datenraum-Zugriffssystem haben mussen. Neben diesen Datenraum- 
Zugrlffssystemen welst das System einen Informatlonscenter auf. In der Fl- 
gur 1 1st dieses System zur Verelnfachung mlt ledlgllch zwel Datenraum-Zu- 
griffssystemen I, 2 gezelgt, von denen eins eine Kennung DRZSl und das 

30 andere eine Kennung DRZS2 aufweist. Solch ein Datenraum-Zugriffssystem 
1. 2 kann am Arbeltsplatz elnes oder mehrerer Arzte aufgebaut sein, z. B. ist 
in der Figur 1 gezelgt, d^ das Datenraum-Zugriffssystem 2 in elner Praxis 
eines Arztes B und das Datenraum-Zugriffssystem 1 einem Krankenhaus 
aufgebaut sind, in dem ein Arzt A eine Zugrlffsberechtlgung dafur besltzt. 

35 Jedes Datenraum-Zugriffssystem 1. 2 kann uber ein Netzwerk 4 mit dem In- 
formatlonscenter 3 Oder einem anderen Datenraum-Zugriffssystem 1, 2 kom- 
munizieren. 
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1 Jedes Datenraum-Zugriffssystem 1. 2 enthSlt elnen slcheren Datenspeicher. 
in dem die medlzlnischen Daten von Patlenten gespeichert werden k6nnen. 
Dieser Speicher ist dadurch zugrlffgesichert. daB ein Datenzugriff nur uber 
das erfindungsgemafie Verfahren erfolgen kann. wodurch ein Datenmtfi- 
5 brauch mlt in diescm Speicher gespeicherten Daten nicht mdglich ist. Weiter 
ist durch das erfindungsgemafie Verfahren gewahrleistet. dajS nur neue Da- 
ten gespeichert werden k6nnen. also nicht solche, die bereits in einem ande- 
ren Datenraum-Zugriffssystem 1, 2 gespeichert waren. Weiter kdnnen so- 
wohl der jeweilige Arzt als auch der Patient unabh^gig voneinander Qber 
10 das Datenraum-Zugriffssystem 1. 2 mit dem Informatlonscenter 3 oder ei- 
nem anderen an das Netzwerk 4 angeschlossenen Datenraum-Zugriffssystem 
1. 2 kommunizieren, wobei nur ein Arzt Daten spelchern kann. 

In dem Informationscenter 3 werden Referenzen zu den Daten der Patienten 
15 und die dazugehorige Identifizierungsinformation der Patlenten und Arzte 
zentrahslert gespeichert. 

Die Sicherheit der einzelnen Datenubertragungen Innerhalb dieses Systems 
wird uber eine Verschlusselung der Datenubertragungen zwischen alien 

20 Teilnehmern gewahrleistet. Hierbei wird jede innerhalb des Systems ubertra- 
gene Information mlt einer digitalen Signatur versehen. Bel Jedem Zugemg 
wird eine Autorisierung verlangt. und alle Daten werden in verschlusselter 
Form ubertragen und gespeichert. Jeder Tellnehmer, z. B. ein Arzt oder ein 
Patient, sowle das Informationscenter und Jedes Datenraum-Zugriffssystem 

25 verfugen uber zwei Paare von dffentlichen und geheimen Schlussein zur Da- 
tenkodierung. Ein Paar dieser Schlussel. genannt die VerschlOsselungs- 
schlQssel, wird fQr die slchere Datenubertragung verwendet und das andere. 
ntmllch die Signaturschlussel, versieht die ubertragene Information und be- 
stttigt dadurch den Absender mit einer digitalen Signatur. Die geheimen 

30 SchlOssel sind nur dem Jeweiligen Teilnehmer, Informationscenter oder Da- 
tenraum-Zugriffssystem bekannt, wohingegen die offentlichen Schlussel al- 
ien Teilnehmern zuganglich sind. d. h., da£ Jeder in dem System vorhandene 
Tellnehmer die M6gllchkelt hat. elnen dffentlichen Schlussel Jedes anderen 
Tellnehmers zu bekommen. Immer. wenn ein Tellnehmer eine Information 

35 uber das Netzwerk versendet. wird das folgende Verfahren ausgefQhrt: 
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10 



Der Sender versieht die von Ihm gesendete Information mit elner digl- 
talen Signatur, indent er selnen geheimen Signaturschlussel verwen- 
det. Hierdurch kann der Sender nicht nachgeahmt werden, wobel der 
Empfanger eine verwendete digitale Signatur rait Hilfe des dffentlichen 
Signaturschlussels best^tigen kann. Wenn 2. B. eln Datenraum-Zu- 
griffssystem die Information Qber einen Patlenten an das Informati- 
onscenter versendet, mu^ diese Information bel der Erzeugung von 
Daten ebenfalls mit dem geheimen SignaturschlQssel dieses Patienten 
versehen seln. Hierdurch wlrd gesichert, da£ die Information wirklich 
2u dem benannten Patienten gehort» und da^ dieser der Obertragung 
dieser Information zustlmmt. 



2. Der Sender verschlusselt alle ubertragenen Daten mlttels eines dffentli- 
chen Verschlusselungsschlussels des Empfangers. an den die Daten 

15 abertragen werden. Hierdurch kdnnen dlese ubertragenen Daten nur 

unter Verwendung des geheimen Verschlusselungsschlussels des Emp- 
fangers entschlOsselt werden. 

3. Immer. wenn eln Teilnehmer auf das System zugreift, mufi er autori- 
20 siert seln und seine Identitat bestatigt haben. Ein spezieller Datentra- 

ger, wle z. B. eine Chipkarte. kann zur Oberprufung der Identltat des 
Tellnehmers dienen. Naturlich konnen auch andere Verfahren zur Per- 
sonenidentiflzlerung eingesetzt werden, wle z. B. die Spracherkennung, 
die BUderkennung, die Erkennung von Fingerabdrucken etc.» von denen 
25 jedes elnzeln oder In Kombinatlon eingesetzt werden kann. 

Als sicherer Speicher fur die geheimen Schlussel eines Tellnehmers und an- 
dere personllche Information kann ebenfalls ein spezieller Datentrager. wle 
z. B. eine Chipkarte, eingesetzt werden. 

30 

Die Sffentllchen Schlussel der Teilnehmer, des Informatlonscenter 3 und der 
elnzelnen Datenraum-Zugriffssysteme 1, 2 k5nnen z. B. zentral in dem In- 
formatlonscenter 3 gespeichert seln. 

35 Die Figur 2 zeigt die Erzeugung von Daten eines Patienten und den Vorgang. 
wle dlese Daten im System zur Verfugung gestellt werden. 
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2. B. sucht der Patient N an einem Tag X den Arzt A auf und lajSt elne neue 
medlzinische Datenelnhelt z. B. ein R6ntgenbild. erstellen. Wenn es der Pa- 
tient N wunscht, kann dlese Datenelnheit Ober das Praxisnetz anderen Arz- 
ten zur Verfugung gestellt werden. In dlescm Fall werden die zu speichem- 
den Daten des Rontgenbildes in einem ersten Schritt SI in einer elektronl- 
schen Form zusammen mit einem elektronischen Formular. welches den Typ 
der Daten enthalt. in dem Datenraum-Zugriffssystem 1 mit der Kennung 
DRZSl des Arztes A gespeichert. Der Typ der Daten besteht hier in der An- 
gabe, da3 es slch um ein Rdntgenbild des Patienten N handelt. das der Arzt 
A am Tag X aufgenommen hat. Es ist auch moglich, dafi der Typ der Daten 
ledlglich aus einer dleser Angaben besteht, oder dafi noch weltere Angaben 
hinzugefOgt werden, wie z.B. die Kennung DRZSl des die Daten speichern- 
den Datenraum-Zugriffssystems 1. Die Daten des Rdntgenbildes werden zu- 
sammen mit dem elektronischen Formular in dem gesicherten Datenspeicher 
des Datenraum-Zugriffssystems 1 gespeichert. Das Speichern von Daten ist 
nur bei einer Autorisierung des Inhabers der Rechte an diesen Daten m6g- 
lich, hierzu kann z. B. die Ghipkarte des Patienten dienen. 

In einem zwelten Schritt S2 wird das Informationscenter 3 von dem Daten- 
raum-Zugriffssystem 1 benachrlchtlgt. da£ es neue Daten aufweist, n^mllch 
ein Rfintgenbild des Patienten N. Eine solche Benachrichtigung kann entwe- 
der unmittelbar nach der Speicherung der neuen Daten oder zu einem be- 
stlmmten Zeitpunkt geschehen. z. B. regelm^ig zu einer bestlmmten Uhr- 
zeit. Naturlich ist es auch rndgUch, daJ3 das Informationscenter 3 zu be- 
stlmmten Zeitpunkten Anfragen an Jedes Datenraum-Zugriffssystem 1. 2 
schickt, ob neue Daten gespeichert wurden. 

In einem dritten Schritt S3 registriert das Informationscenter 3 das Vorhan- 
denseln des Rontgenbilds des Patienten N vom Tag X mit der Verfugb£u-keit 
im Datenraum-Zugriffssystem 1 und weist diesen Daten eine nur einfach 
vorhandene Identlfizierung zu» z. B. NXAX. wonach dlese Identiflzierung mit 
einer benachrlchtigenden Bestatigung vom Informationscenter 3 an das Da- 
tenraum-Zugriffssystem 1 ubertragen wird. Im Datenraum-Zugriffssystem 1 
wird die so zugewlesene Identiflzierung zur Verwaltung der zugehdrigen Da- 
ten verwendet. indem dlese zu den Daten hinzugefugt wird. Ober elne ent- 
sprechende Konfiguration kann gewahrlelstet werden. da3 Daten nlcht 
mehrfach im System vorhanden sind. Spatestens mit der Registrlerung der 
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Daten durch das InformaUonscenter 3 erfolgt hler eine Oberprufung der Au- 
torislerung der Datenspeicherung durch den Patlenten. Im Falle der Nicht- 
autorisierung warden kelnem Tellnehmer Zugrlffsrechte auf diese Daten ge- 
wahrt. 

In der Figur 2. wle auch In den nachfolgenden Figuren bedeutet der hohle 
Pfell elne Obertragung von Daten in das Systen, da3 heiBt die Speicherung 
neuer Daten in einem Datenraum-Zugriffssystem 1. 2, und die normalen ^ 
Pfeile jeweils eine Kommunlkatlon Qber das Netzwerk 4, wle z. B. elne Anfra- 
ge Oder Benachrlchtigungen. Es kann also anhand der Figur 2 erkannt war- 
den, daJ3 in dem beschriebenen System die medizinlschen Daten nicht in das 
Informatlonscenter 3 kopiert werden, sondern nach ihrer Speicherung Im- 
mer im Datenraum-Zugriffssystem 1 verbleiben. Das Informatlonscenter 3 
halt nur die Referenzen zu dlesen Daten und nlemals die Daten selbst. Wel- 
ter wlrd in den Figuren eine Datenubertragung uber das Netzwerk 4 mittels 
neben normalen Pfeilen dargestellten Rechtecken angezeigt. in denen die Je- 
wells ubertragenen Daten angegeben sind. 

Die Figur 3 zeigt den Versuch eines Datenzugriffs uber das Praxlsnetz. 

An einem Tag Y besucht der Patient N einen Arzt B, der eln Datenraum-Zu- 
griffssystem 2 mit der Kennung DRZS2 besitzt. Dieser Arzt B bendtigt z. B. 
ein aktueUes RontgenbUd des Patlenten N. Deshalb schickt er in einem 
Schritt S4 von seinem Datenraum-Zugriffssystem 2 eine Anfrage nach Ront- 
genbildem des Patlenten N an das Informatlonscenter 3. Das Informatl- 
onscenter 3 erstellt eine Liste der Referenzen zu alien Rdntgenbildern des 
PaUenten N, die zur Zeit im Gesamtsystem vorhanden sind, d. h. in alien 
angeschlossenen Datenraum-Zugrlffssystemen 1, 2 gespeichert slnd und 
vom Informatlonscenter 3 registriert wurden. Anschlie^end uberpruft das 
Informatlonscenter 3 die Zugrlffsrechte an den in dieser Liste aufgefOhrten 
Daten hinsichtlich des Arztes B. von dem die Anfrage aber Rfintgenbllder 
des Patlenten N kam. und ubertragt in einem Schritt S5 ledigllch die Refe- 
renzen der Rdntgenbilder des Patlenten N, auf die der Arzt B die Zugrlffs- 
rechte vom Pateienten N. der in dlesem Fall der Inhaber der Rechte an sei- 
nen Daten ist, erteilt bekommen hat. Da in dlesem Fall z. B. von dem Patl- 
enten N noch keine Zugrlffsrechte fur seine R6ntgenbllder deflniert wurden. 
ist dlese Liste leer. Deshalb sendet das Informatlonscenter 3 eine Nachricht 
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"Keine Daten gefunden" an das Datenraum-Zugrlffssystem 2. Dieses glbt 
diese Nachricht an den Arzt B aus. 

Demnach kann ohne Zugriffsrechte des Patienten. der der Inhaber der Rech- 
te an den gespeicherten Daten ist, kein Arzt das Vorhandensein der Daten 
Im System erkennen. Elne Durchbrechung dieses fur bestlmmte Daten. fur 
die Im einzelnen Zugriffsrechte deflniert wurden, sicheren Systems 1st nur 
moglich. wenn der Patient N z. B. allgemelne Zugriffsrechte auf seine gesam- 
ten Daten oder auf bestimmte Daten im voraus an bestimmte Arzte gegeben 
hat. Auch in diesem Fall hat aber der Patient selbst bestimmt. wer auf seine 
Daten zugrelfen kann, also wurden auch hier seine Datenschutzrechte ge- 
wahrt. 

Die Figur 4 stellt die Definition von Zugriffsrechten des Patienten in dem In- 
formationscenter 3 dar. 

Der Patient N kann in einem Schritt S6 z. B. aber das Datenraum-Zugrlffs- 
system 2 eine Liste aller seiner zur Zeit im Gesamtsystem zur Verfugung 
stehenden Daten vom Informationscenter 3 abrufen. Alternatlv kann er auch 
nur eine Liste von bestimmten Daten abrufen. In einem Schritt S7 verarbei- 
tet das Informationscenter diese Anfrage und sendet die jeweils geforderte 
Liste an das Datenraum-Zugrlffssystem 2. Der Patient N kann Jetzt Zugriffs- 
rechte an den durch die Liste aufgezeigten Daten deflnieren. Hat er z. B. 
eine Liste aUer seiner Rdntgenbilder angefordert, so kann er definleren. da£ 
der Arzt B und/oder Jeder andere Arzt oder elne bestimmte Gruppe von Arz- 
ten auf das am Tag X vom Arzt A gefertigte Rdntgenbild mlt der IdenUflzie- 
nmg NXAX zugrelfen kann. Ein solches Zugriffsrecht kann zeltlich begrenzt 
Oder unbegrenzt sein. Das Zugriffsrecht kann auch im voraus fiir andere in 
der Zukunft zur VerfQgung stehende Daten vergeben werden. Hat der Pati- 
ent N alle gewanschten Zugriffsrechte deflniert. so kann er in einem Schritt 
S8 uber das Datenraum-Zugriffssystem 2 eine Aktualisierung der Zugriffs- 
rechte im Inforamatlonscenter 3 bewirken. Das Informationscenter 3 spei- 
chert in einem Schritt S9 die Anderungen und sendet eine Bestatigung zu- 
ruck an das Datenraum-Zugriffssystem 2. 

Diese Zugriffsrechte konnen altemativ auch zu dem Zeitpunkt vergeben wer- 
den, zu dem neue Daten in einem Datenraum-Zugriffssystem 1, 2 gespei- 
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chert werden. Ein Patient oder sonstiger Inhaber von Rechten an tn elnem 
Datenraum-Zugriffssystem 1. 2 gespeicherten Daten kann Zugrlffsrechte von 
Jedem bellebigen Datenraum-Zugriffssystem 1» 2 aus vergeben. Denkbar 
ware es z. B., da3 solche Datenraum-Zugrlffssysteme 1. 2 neben Ihrem 
Standort in Arztpraxen oder Krankenhausem auch in Apotheken aufgestellt 
werden, oder da£ auf ein Praxisnetz auch uber das Internet zugegriffen wer- 
den kann. wodurch jeder internetfahige Computer zu elnem Datenraum-Zu- 
griffssystem oder zumlndest zu elnem Zugriffssystem werden kdnnte. wel- 
ches kelnen Speicherplatz zur Verfiigung stellt. Der Inhaber der Rechte an 
in elnem Datenraum-Zugriffssystem 1. 2 gespeicherten Daten. hier also der 
Patient, ist aufgrund seiner Autorlsierung und Identlfikatlon die einzlge Per- 
son, der die Zugrlffsrechte vom Informationscenter 3 angezeigt werden und/ 
Oder die sle im Informationscenter 3 modiflzieren kann. 

Die Figur 5 zeigt den fur einen erfolgreichen Zugriff auf bestiramte Daten no- 
tigen Ablauf. 

Nach der Definition der Zugrlffsrechte an den am Tag X vom Arzt A aufge- 
nommenen Rontgenbild des Patlenten N mit der Identiflzlerung NXAX fiir 
den Arzt B durch den Patlenten N startet der Arzt B in einem Schrltt SIO 
elne erneute Anfrage an das Informationscenter. alle Referenzen zu den 
R6ntgenbildern des Patlenten N anzugeben. In elnem Schrltt Sll stellt das 
Informationscenter elne Liste der Referenzen aller zur Zelt in alien Daten- 
raum-Zugriffssystemen vorhandenen Rontgenbilder des Patlenten N zusam- 
men. uberpruft die Zugriffsberechtigungen hlnslchthch des anfragenden Arz- 
tes B und wahlt ledlgllch die R6ntgenbllder aus. auf die der Arzt B zugreifen 
darf, um die zugehdrlgen Referenzen an das Datenraum-Zugriffssystem 2 zu 
ubertragen. von dem aus der Arzt B die Anfrage an das Informationscenter 
ausgefuhrt hat. In diesem Fall wird z. B. nur die Identiflzlerung NXAX des 
am Tag X vom Arzt A erstellten Rontgenblldes des Patienten N zusammen 
mit dem Speicherort/der Adresse, hler das Datenraum-Zugriffssystem I mit 
der,Kennung DRZSl, an das Datenraum-Zugriffssystem 2 ubertragen. wel- 
ches dem Arzt B diese Information anzeigt. Der Arzt B kann also nur die Re- 
ferenzen zu Daten sehen, auf die der Patient N dem Arzt B Zugrlffsrechte ge- 
wahrt hat. Die Referenzen kSnnen z. B. die Art der Daten. hier Rontgenbild. 
das Datum der Untersuchung. hier den Tag X, den untersuchenden Arzt, 
hier den Arzt A, den Speicherort der Daten. hler das Datenraum-Zugriffssy- 
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stem 1 mlt der Kennung DRZSl. oder auch noch weltere Daten enthalten. In 
elnem Schritt S12 wahlt der Arzt B das R6ntgenbild mlt der Identlflzlerung 
NXAX aus, woraufhin das Datenraum-Zugrlffssystem 2 elne Anfrage des Arz- 
tes B aber das Rfintgenblld mlt der Identlflzlerung NXAX an das Datenraum- 
Zugriffssystem mlt der Kennung DRZSl, hler das Datenraum-Zugrlffssystem 
1 sendet. In elnem Schritt 313 sendet das Datenraum-Zugrlffssystem 1 dar- 
aufhln elne Anfrage an das Informatlonscenter 3, um zu bestd.tlgen. da^ der 
Arzt B die Zugriffsrechte auf das R6ntgenbild mlt der Identlflzlerung NXAX 
besltzt. Das Informatlonscenter 3 antwortet In elnem Schritt S1.4 mlt elner 
Bestatigung, woraufhin das Datenraum-Zugrlffssystem 1 in elnem Schritt 
S15 die Daten des Rdntgenblldes mlt der Identlflzlerung NXAX an das Da- 
tenraum-Zugrlffssystem 2 Qbertragt. Dieses stellt die empfangenen Daten 
des Rdntgenblldes In akzeptabler Form dar und/oder laJ3t den Arzt B die Da- 
ten zur welteren Verarbeltung speichern. wobei elne solche Spelcherung 
nicht In dem slcheren Spelcher des Datenraum-Zugrlffssystems 2, sondern 
auf einem anderen Spelchermedlum erfolgen muJ5. denn sonst waren die Da- 
ten mehrfach Im System vorhanden. 

Hat elne berechtlgte Person die empfangenen Daten elnmai fur die weitere 
Verarbeltung gespelchert. so kann sle naturlich Immer wleder auf diese ge- 
spelcherten Daten zugrelfen. Ein Zugrlff liber das Praxlsnetz 1st jedoch nur 
solange moglich, wie es der Inhaber der Rechte an diesen Daten uber die De- 
finition der Zugriffsrechte erlaubt. 

Da also nach dem erfindungsgem^en Verfahren ein Speichern von be- 
stimmten Daten nur mlt der Zustimmung des Inhabers der Rechte an diesen 
Daten mfiglich 1st und auch ein Abrufen solcher Daten nur mlt Zustimmung 
des Inhabers der Rechte an diesen Daten mdgllch 1st, werden die Personlich- 
keitsrechte z. B. elnes Patienten gewahrt. Das System arbeitet fdr Jegllchen 
Benutzer vollkommen transparent, wobel der elnzelne Benutzer keine Kennt- 
nlsse uber die Sicherheits- oder Obertragungsverfahren haben mu6. Durch 
die Verschiasselung der gesendeten Daten konnen unberechtlgte Personen 
nlcht "mlthoren" und durch die Definition von bestimmten Zugrlffsrechten 
fur bestlmmte Daten durch den Inhaber der Rechte an Ihnen konnen kelne 
unberechtlgten Datenzugrlffe erfolgen. 
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1 Bel der Obertragung der Daten ist es von besonderem Vorteil, wenn die vom 
Inhaber der Zugriffsrechte festgelegte Zweckbindung der Obennittlung dle- 
ser Daten Im urspnlngllchen Datenkontext zusammen mit diesen Daten in 
Form "elektronischen Wasserzelchens" ubennittelt und zusStzUch dlese Da- 

5 ten sichtbar als zweckgebundene Kople der Origincddaten gekennzelchnet 
werden. 

Das erfindungsgemaJSe Verfahren zum abgesicherten Zugriff auf Daten In el- 
nem Netzwerk kann natCirllch auch auf andere nlcht-medlzinische Netzwerke 

10 angewandt werden, da hier eln System zur Steuerung der Vertellung indivi- 
dueller Daten vorgeschlagen ist. Ein emderer Anwendungsbereich 1st z. B. 
die Vertellung von Personendaten zu ihrer Identiflkatlon. wodurch die Ober- 
tragung dieser Daten z. B. zwischen unterschledlichen Verwaltungsbehorden 
ohne elne zentrallslerte Datenbank der einzelnen Burger flexlbler gestaltet 

15 werden kann. Durch das erftndungsgema£e System hat der nur betroffene 
Burger selbst und alleln die Verfugungsgewalt uber seine individuellen Da- 
ten. 

20 



25 



30 



35 
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P a t e n t a n a p r ii c h e 

1. Verfahren zum abgesicherten Zugrifif auf Daten in einem Netzwerk mit einem 

Informationscenter (3) und mehreren Datenraum-Zugrlflfssjrstemen (1. 2), 
bel dem allein eln Inhaber von Rechten an zu spelchemden Daten das 
Spelchem dleser Daten erlauben und die Zugriflfsrechte Dritter auf diese 
Daten in dem Informationscenter (3) definieren kann. 
dadurch gekennzeichnet. da6 

- die Daten Jewells nur einmal in einem der dem Inhaber dec Rechte nlcht 

zuganglichen Datenraum-Zugrlffssysteme (1.2) gespelchert werden. 

- das Informationscenter (3) das Vorhandenseln von Daten eines bestimmten 

Typs in Jedem Datenraum-Zugriffssystem (1) reglstriert. wonach der In- 
haber der Rechte an den gespeicherten Daten in dem Informationscenter 
(3) Zugriffsrechte Dritter auf die Daten zu definieren vermag. 

- das Informationscenter (3) nach einer Anfirage eines anfragenden Daten- 

raum-Zugriffssystem (2) nach Daten eines bestimmten Typs elne Uste 
der vorhandenen Daten dieses bestimmten Typs unter Angabe des diese 
Daten Jewells spelchemden Datenraum-Zugriffssystems (1) an das anfra- 
gende Dateru^um-Zugriffssystem (2) ubertragt. fOr die die Zugriffsrechte 
des anfragenden Datenraum-Zugriffssystem (2) zu den im Informati- 
onscenter (3) fur diese Daten definlerten Zugriffsrechten korrespondle- 
ren, und 

- die Daten des bestimmten Typs von dem diese Daten spelchemden Daten- 

raum-Zugriffssystem (1) direkt nur an das anfragende Datenraum- 
Zugriffssystem (2) ubertragen werden, wenn das diese Daten spelchemde 
Datenraum-Zugriffssystem (1) von dem Informationscenter (3) elne Be- 
statigung erhalten hat. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, da^ eine Autorisle- 

rung der Spelcherung von Daten und der Definition der Zugriffsrechte 
Dritter an den Daten uber eine Identitatspriifung des Inhabers der Rechte 
an den Daten erfolgt. 

3. Verfahren nach Anspmch 1 oder 2, dadurch gekennzeichnet, da6 zu spel- 

chemde Daten zusammen mit einem elektronischen Formvilar, welches 
den Typ der Daten enthalt in dem Datenraum-Zugriffssystem (I) gespel- 
chert werden. 
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4. Verfahren nach einem der Anspruche 1 bis 3, dadurch gekezmzelchnet, 

da3 von einem Daten speichemden Datenraiim-ZugrlfFssystem (1) bei 
elner Anfrage nach bestlmmten Daten elnes bestimmten Typs eines 
anfiragenden Datenraum-Zugriffssystems (2) eine tJberprQfung der 
Zugriffsrechte durch eine Anfrage an das Informationscenter (3) erfolgt, 
ob das anfragende Datenraum-Zugriffssystem auf die bestlmmten Daten 
eines bestimmten Typs Zugriffsrechte hat. 

5. Verfahren nach einem der AnsprOche 1 bis 4. dadurch gekennzeichnet. 

dafi ein bestimmte Daten eines bestimmten Typs empfangendes Daten- 
raum-Zugriffssystem (2) nur dlrekt nach einem Jeweillgen Datenempfang 
einen Zugriff auf die empfangenen Daten erlaubt. 

6. Verfahren nach einem der AnsprQche 1 bis 5. dadurch gekemmiclmet. 

da3 von einem bestimmte Daten eines bestimmten Typs selbst speichem- 
den Datenratun-Zugrififssystem (1) ein Zugrifif auf die bestlmmten Daten 
eines bestlmmten Typs nur gewahrt wird, wenn eine positive Oberprufung 
der Zugriffsrechte durch eine Anfrage an das Informationscenter (3) er- 
folgt ist, ob das die bestimmten Daten eines bestlmmten Typs selbst spei- 
chemde Datenraum-ZugrifFssystem (1) ftir die bestlmmten Daten eines 
bestimmten Typs Zugriffsrechte vorweisen kann. 

7. Verfahren nach einem der AnsprQche 1 bis 6, dadurch gekennzeichnet. 

d^ das Informationscenter (3) von einem neue Daten aufwelsenden 
Datenraum-Zugriffssystem (I) Qber das Vorhandenseln neuer Daten 
elnes bestlmmten Typs benachrichtigt wlrd, woraufhin das Informa- 
tionscenter (3) eine benachrichtigenden Bestatigung an das betreffende 
Datenraum-Zugriffssystem (1) sendet. 

8. Verfahren nach einem der Anspruche 1 bis 7. dadurch gekennzeichnet* 

da3 die Daten anhand einer vom Informationscenter (3) zugewlesenen 
nur einfach vorhandenen Identlflzierung Identlflzlert werden, die von dem 
Informationscenter (3) nach einer Registrierung von neuen Daten an das 
diese Daten speichemde Datenraum-Zugriffssystem (1) ubertragen wlrd. 
damlt dieses die Jeweillge Identlflzierung an die Jeweiligen Daten anhangt 
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Verfahren nach einem der AnsprQche 1 bis 8, dadurch gekennzeichnet. 

dEjS das Informationscenter (3) nach einer Anfrage Qber Daten eines 
bestimmten lyps von einem Datenraum-Zufgrlffssystem (2) eine Uste 
aller vorhandenen Daten dieses bestimmten Typs erstellt, bevor es die 
Zugrlffsrechte auf die Daten des bestimmten Typs uberprilft um die Uste 
der vorhandenen Daten dieses bestimmten Typs unter Angabe des diese 
Daten Jewells spelchemden Datenraum-Zugrlffssystems (1) an das anfra- 
gende Datenraum-Zugrlffssystem (2) zu ubertragen. fur die das anfragen- 
de Datenraum-ZugrUBssystem (2) die Zugrlffsrechte vorweisen kann. 

Verfahren nach einem der Anspruche 1 bis 9. dadurch gekennzeichnet, 

daB bei einem gewunschten Datenzugrlff von einem Datenraum-Zugrlffs- 
system (1) auf Daten eines bestimmten Typs zunachst eine Anfrage nach 
solchen Daten des bestimmten Typs an das Informationscenter (3) 
geschickt wird. 

Verfahren nach einem der Anspruche 1 bis 10, dadurch gekennzeichnet. 

da^ bei elner gewunschten DatenQbertragung von einem Daten spel- 
chemden Datenraum-Zugriffssysten (1) an eln anfragendes Datenraura- 
Zugriffssystem (2) von diesem zimachst eine Anfrage nach bestimmten 
Daten eines bestimmten Typs an das dlese bestimmten Daten eines be- 
stimmten Typs speichemde Datenraum-Zugrlffssystem (1) geschickt wird. 

Verfahren nach einem der AnsprQche 1 bis 11, dadurch gekennzeichnet. 
ds^ die Daten in einem Datenratun-Zugriffssystem (1, 2) in einem slche- 
ren Datenspeicher gespeichert werden, wobei auf die darln gespeicherten 
Daten keln dlrekter Zugrlff mdglich ist 

Verfahren nach einem der Anspruche 1 bis 12. dadurch gekennzeichnet. 
da6 der Typ der Daten durch ihren Inhalt imd/oder den Inhaber der 
Rechte an den Daten bestimmt wird. 

Verfahren nach einem der Anspruche 1 bis 13. dadurch gekennzeichnet. 

da0 die Zugrlffsrechte an gespeicherten Daten durch den Inhaber der 
Rechte an den Daten zu einem bellebigen Zeitpunkt nach ihrer Registrle- 
rung In dem Informationscenter (3) definlert werden kormen und danach 
durch eine Neudefinltlon von dem Inhaber der Rechte an den Daten belle- 
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big wleder getodert werden kdnnen. 

15* Verfahren nach einem der Anspruche 1 bis 14, dadurch gekennzeiclmet. 

da0 die Zugrlffsrechte an gespelcherten Daten dxirch den Inhaber der 
Rechte an den Daten mit Ihrer Spelcherung In elnem Datenraum- 
Zugriffssystem (1.2) vergeben werden konnen. 

16. Verfahren nach einem der Anspruche 1 bis 15. dadurch gekennzeichnet, 

da^fi die Kommunikation zwischen einem Datenraum-Zugrlffssystem (1.2) 
und dem Informationscenter (3) Oder einem anderen Datenraum-Zugrlffs- 
system (2, 1) verschlusselt erfolgt 

17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, da0 der Sender 

die von ihm gesendete Information mittels einem gehelmen Signatur- 
schlQssels mit einer dlgltalen Slgnatur versieht, wodurch der Empfanger 
die gesendete Information mittels eines dazugehorenden ofifentlichen Sl- 
gnaturschlussels uberprufen kann. 

18. Verfahren nach Anspruch 16 oder 17. dadurch gekennzeichnet. da6 da& 

der Sender alle ubertragenen Daten mittels eines vom Empfanger ausge- 
gebenen dffentllchen VerschlQsselungsschliissel kodlert. wodurch nur der 
Empfanger die ubertragenen Daten mittels eines gehelmen Verschlusse- 
lungsschlussels dekodieren kann. 

19. Verfahren nach einem der Anspruche 16 bis 18. dadurch gekennzeichnet. 

dafi sowohl Jedes Datenraum-Zugrlffssystem (1. 2) und das Informati- 
onscenter (3) als auch Jeder Tellnehmer Je elnen gehelmen und Je einen 
offentlichen Signaturschlussel xind Verschlusselungsschlussel aufsveisen. 

20. Verfahren nach Anspruch 19, dadurch gekennzeichnet, d^ die gehelmen 

Signaturschlussel und Verschlusselungsschlussel und/oder fiffentlichen 
Signaturschlussel und VerschlusselungsschlQssel eines Tellnehmers auf 
elnem Datentrager. wie z. B. elner Chipkarte, gespeichert sind. 

21. Verfahren nach einem der AnsprQche 1 bis 22, dadurch gekennzeichnet, 

dafi sich ein auf das Netzwerk zugrelfender Teilnehmer autorlsleren muB 
und seine Identitat vom Informationscenter uberprufl wlrd. 
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22. Verfahren nach Anspmch 21, dadurch gekeimzeichnet, da£> die Identitat 

eines Tellnehmers auf elnem Datentrager, wie z. B. einer Chlpkarte, ge- 
speichertist 

23. Verfahren nach einem der Anspruche 1 bis 22, dadurch gekiBimzeiclinet. 

da0 die Erlaubnls der Spelchening der Daten durch den Inhaber der 
Rechte an den Daten sp§testens bei elner Reglstrierung der Daten In dem 
Informationscenter (3) erfolgt, wobei das Informationscenter (3) ohne kor- 
rekte Autorisierung kelnen spateren Datenzugrlff auf dlese Daten erlaubt. 

24. Verfahren nach mindestens einem der vorstehenden Anspruche. dadurch 

gekennxeichnet, da0 bel der Obertragung der Daten die vom Inhaber der 
Zugnffsrechte festgelegte Zweckblndung der Obermittlung dieser Daten 
im urspriinglichen Datenkontext zusammen mit dlesen Daten In Form ei- 
nes elektronischen Wasserzeichens ubermlttlelt und darfiber hlnaus die 
Daten slchtbar als zweckgebundene Kopie der Originaldaten gekennzeich- 
netwerden. 
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